Virus protector: rien ne va plus! Fermé

Question

Bonjour à tous, 

Voici déjà deux jours que j'arpente les forums à la recherche d'une solution mais aucune pour l'instant ne me convient. 

Le problème: j'ai bêtement installer le rogue Virus protector et depuis lors, le scan de ce dernier s'affiche dans ma session administrateur, heureusement(si on peut dire) je peux toujours aller sur une autre session mais qui ne possède pas les droits d'aministrateurs. L'écran de cette session est noir mais j'arrive à naviguer sur le pc grâce au gestionnaire de tâche(je poste ici par le pc infecté). 

J'ai déjà essayé les rkill, ils se lancent mais ne terminent et s'arrêtent avec ce message d'erreur: "pev.rkexe à cessé de fonctionner." Je ne peux pas installer des logiciels comme Malwarebytes' Anti Malware ou List&Kill'em parce que je ne possède pas les droits d'utilisateurs. J'ai aussi essayé avec fritfraudfix mais cela ne donne rien. 
En desespoir de cause j'ai tenté ma chance avec combofix mais l'installation échoue et windows me dit qu'il ne peut pas ouvrir le fichier nircmd.cfxxe. 

Les écrans ont le même problème en mode sans échec 

Je suis sous vista / internet explorer 7.0 

... A l'aide!

Smart91 · Answer

Bonjour, 

On va analyser ton PC: 

Télécharge ZHPDiag sur ton bureau  
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html  

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions. 
  
/!\Utilisateur de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »  

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.  
Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.  
/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix  
Clique sur la loupe pour lancer l'analyse.  
Laisse l'outil travailler, il peut être assez long.  
Ferme ZHPDiag en fin d'analyse.  
Pour transmettre le rapport clique sur ce lien :  
http://www.cijoint.fr/  
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).  
Sélectionne le fichier ZHPDiag.txt.  
Clique sur "Cliquez ici pour déposer le fichier".  
Un lien de cette forme :  
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt  
[est ajouté dans la page.  
Copie ce lien dans ta réponse. 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Smart91 · Answer

Il faut que tu sois administrateur de ton PC. Est-ce que tu es le propriétaire du PC ?

Smart

Smart91 · Answer

Redemarre ton PC et ouver une sessoin en tant qu'administrateur, c'est à dire tu mets le nom administrateur plus le mot de passe que tu as défini au moment de l'installation

Smart

Rev@nche · Answer

Salut, j'ai eu le même problème, je vais te donner la démarche que j'ai fait pour m'en débarrasser bien qu'elle ne soit pas complète et très propre. 
Tu appuies sur F8 (ou peut être F5) quand ton ordinateur démarre, et tu sélectionnes "invite de commande en mode sans échec" à l'écran qui apparait. 

Ensuite là dedans tu tapes : regedit 
ensuite entrée 

et là tu recherches ces clefs et tu les supprimes :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Virus Protector" 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows "LoadAppInit_DLLs" = "1? 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows "AppInit_DLLs" = "[random].dll" 


Personnellement je n'en avait que 2 sur les 3, je l'ai ai enlevé et après l'ordinateur s'est lancé correctement, ensuite avec ton accès à ta session admin, tu reprends la procédure de Smart91 pour tout nettoyer. 

En espérant avoir aidé, bonne chance.

Smart91 · Answer

OK Je comprends mieux
A partir de ta session

1. Télécharge Rkill sur le bureau ; à partir d'un de ces liens 
https://download.bleepingcomputer.com/grinler/rkill.exe http://download.bleepingcomputer.com/grinler/rkill.pif 
https://download.bleepingcomputer.com/grinler/rkill.scr 
https://download.bleepingcomputer.com/grinler/rkill.com 

Double clic pour le lancer. 
Une fenêtre (très rapide) indiquera que tout s'est bien déroulé. 
Pour Vista ou Seven, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

2. Malwarebyte's
/!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard : 
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac 

Télécharge Malwarebytes

- Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
- Fais la mise à jour du logiciel (elle se fait normalement à l'installation) 
-Lance une analyse complète en cliquant sur "Exécuter un examen complet"
- Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
- L'analyse peut durer un bon moment.....
- Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
- Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
- Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée
 
Smart

pertotu · Answer

Je viens d'essayer ce que Rev@nche m'a conseillé de faire et suis allé en invité de commande en mode sans échec. 
Sur la session admin lorsque je tape REGEDIT, un message s'affiche: "La modification du registre a été désactivée par votre administrateur"... Etrange en tant qu'admin je ne me souviens jamais avoir fais ça.

Sur la session utilisateur j'arrive à ouvrir le registre. J'ai ensuite réussi à trouver deux des trois clefs:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows "LoadAppInit_DLLs" = "1? 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows "AppInit_DLLs" = "[random].dll" 

A ce moment, petit sourire au coin des lèvres,j'essaie de supprimer mais il m'affiche un message d'erreur:"Impossible de supprimer toutes les valeurs spécifiées".
J'ai essayé de mettre contrôle total à utilisateur mais je ne peux pas et il m'affiche:"impossible d'enregistrer les modifications d'autorisation sur Windows"
Je n'arrive pas non plus à mettre utilisateur en tant que propriétaire.

J'ai comme l'impression d'entendre mon pc pousser des gémissements, si quelqu'un à quelque chose a proposer ce sera le bienvenu...

moment de grace · Answer

bonjour

as tu essayer cette même procédure en mode sans échec ?

https://forums.commentcamarche.net/forum/affich-17455732-virus-protector-rien-ne-va-plus#12

pertotu · Answer

Du nouveau

J'ai lancé combofix en mode sans échec, le programme m'indique à nouveau que windows ne peut ouvrir le fichier nircmd.cfxxe et que l'installation a échoué. Je clique sur ok MAIS combofix se lance quand même.

Cependant l'ordinateur émet deux bips et un message d'erreur m'indique que le OS n'est pas compatible pourtant la limitation de garantie de combofix s'affiche.

Si je clique sur oui, combofix m'indique que mon antivirus(Bitdefender 2008) est activé mais quand je regarde il ne l'est pas.

Que faire?

Rev@nche · Answer

J'avais en partie utilisé ce site pour réussir à désinstaller virus protector quand j'ai eu le problème, je te le met au cas où ça pourrait servir ... mais j'en doute.

https://www.411-spyware.com/fr/enlever-virus-protector


Tu peux peut être trouver la manip qui te sauvera la dedans ^^

pertotu · Answer

Merci pour votre aide et le temps qui m'avez consacré mais je ne pense pas que ça ira. Je vais encore essayer quelques manip et puis reformater.

moment de grace · Answer

bonjour

essaies en retéléchargeant combofix mais en le renommant PERTOTU.com avant de l'enregistrer sur le bureau

Virus protector: rien ne va plus!

11 réponses

Discussions similaires